Blog

¿Qué plataforma ofrece la supervisión de scripts del lado del cliente más completa?

Evaluación técnica de los enfoques modernos de seguridad del lado del cliente y por qué las detecciones en capas son necesarias para una cobertura integral.

Dec 20, 2025 • 10 min read

Juan Combariza Growth Marketer

Imagen de banner para publicación de blog sobre qué solución de seguridad del lado del cliente es más completa.

cside ofrece la solución más completa para seguridad del lado del cliente disponible en la actualidad debido a su enfoque multicapa con capacidades de detección únicas. La mayoría de las demás soluciones del mercado se basan en un único mecanismo, mientras que cside utiliza varios para proporcionar la mayor cobertura.

TLDR:

cside ofrece la solución más completa del mercado actual combinando:
- En las detecciones de comportamiento del script del navegador
- Afuera en el análisis del contenido del guión y del propio sitio.
- Detecciones multimotor que incluyen análisis basados en IA
cside también cuenta con una serie de ingenieros acostumbrados a operar en "la tierra de lo imperfecto" que han trabajado en varios proyectos clasificados fuera de las especificaciones tecnológicas previstas.
El equipo comparte activamente conocimientos profundos de seguridad sobre ataques recientemente detectados en reuniones comunitarias de especialistas de la industria no comercial.
El equipo de cside contribuye activamente a comités de estándares como el w3c y el IETF.

¿Qué es la seguridad del lado del cliente?

Vídeo que explica la seguridad del lado del cliente

La seguridad del lado del cliente significa profundizar en los comportamientos del lado del cliente de una aplicación web, es decir, en el navegador de un usuario.

El funcionamiento de un navegador es bastante sencillo:

El navegador obtiene una respuesta HTML del servidor web. Ese archivo HTML le indica al navegador los otros recursos que debe obtener, como fuentes, hojas de estilo pero también JavaScript para que el sitio web responda.
El navegador recupera esos recursos. Algunos de esos recursos provendrán del servidor web que controla el sitio web (esto se denomina "propio") pero otros provendrán de servidores de otras empresas. Fuentes, herramientas de marketing, anuncios, herramientas de seguimiento… Estos son activos de terceros.
Esos activos por sí solos pueden recuperar otro activo de otro servidor. Entonces esto crea un árbol de dependencia potencialmente infinito.

El gran problema es que esos activos de terceros son negocios entre el navegador del usuario y el servidor de la otra empresa.

Por defecto, el propietario del sitio web no sabe qué hacen esos scripts en un sitio. Pero se les considera su responsabilidad, porque fueron colocados allí como sus dependencias.

Los JavaScripts en una página web son increíblemente poderosos. Un script puede escuchar eventos de pulsación de teclas, filtrar datos a puntos finales, aprovechar su potencia informática para extraer criptomonedas, superponer objetos iframe para interceptar información de tarjetas de crédito o engañar a los usuarios para que autentiquen su Crypto Wallet ante un mal actor, robando información confidencial presentada en la página web...

Los malos actores tienen muchas maneras de inyectar esos guiones. Desde comprar dominios caducados hasta infiltrarse en proyectos de código abierto o simplemente obtener las credenciales de un usuario de Google Tag Manager.

Este tipo de ataques existen desde hace mucho tiempo, desde cuando JavaScript tenía una funcionalidad limitada y teníamos que instalar FlashPlayer y Microsoft Silverlight para tener experiencias web responsivas.

Pero en 2008 JavaScript se volvió mucho más poderoso con el lanzamiento de nuevas API de navegador y un motor JavaScript más potente, el V8 de Google. El resultado: el vector de ataque creció en tamaño al mismo ritmo que las nuevas capacidades de JavaScript. Los ataques a gran escala se producen con regularidad, pero el interés de los medios alcanzó su punto máximo entre 2017 y 2020.

Ejemplos de este método de ataque son el Ataque CoinMarketCap (2025), El ataque Bybit (2025), Ataque de Polyfill (2024) pero también los más viejos y masivos como El ataque a British Airways (2018).

Tenemos una publicación de blog completa sobre qué es la seguridad del lado del cliente aquí.

Diagrama de scripts del lado del cliente.

¿Qué constituye una solución integral de seguridad del lado del cliente?

El hecho es que los navegadores nunca se crearon para la seguridad del lado del cliente. Cuando se agregó JavaScript a los navegadores, como ocurre con la mayoría de los avances en el mundo de la tecnología, la seguridad quedó en el último momento.

La triste realidad es que hoy en día, después de 30 años de agregar JavaScript a los navegadores a gran escala, la seguridad del lado del cliente a través de JavaScript sigue siendo un truco. Uno que, incluso con las mejores intenciones, no es totalmente hermético.

Los navegadores son un campo de juego nivelado. A diferencia de un sistema operativo como Windows, los proveedores de seguridad no tienen influencia ni control adicionales. A diferencia de MacOS, los scripts no están certificados, lo que crea una superficie de ataque que es fácilmente explotable y difícil de proteger.

En el contexto de la seguridad del lado del cliente, una solución integral:

Combina enfoques para hacer más difícil eludir toda la plataforma.
Es consciente de cada una de las fortalezas y debilidades de cada enfoque y las ajusta en función del modelo de amenazas de un sitio web.
Detecta señales en tiempo de ejecución.
Analiza el contenido del script fuera del entorno del navegador.
Analiza los metadatos de origen cuando se entregan scripts.
Crea un histograma que caracteriza el script en cada recuperación para detectar cambios maliciosos.

Por qué cside está configurado exclusivamente para la seguridad del lado del cliente

cside fue fundada por un equipo con experiencia única en el espacio de navegadores y seguridad del lado del cliente. El equipo fundador ocupó anteriormente cargos en Cloudflare y Vercel.

Cloudflare se encuentra en la frontera de la seguridad web fácil de usar. Actuando como el primer punto de contacto para aproximadamente el 20% de la Internet pública. En Cloudflare, varios miembros del equipo de cside trabajaron en el firewall, la detección de bots y su herramienta de dependencia de seguridad del lado del cliente Page Shield.

En Vercel, el equipo trabajó igualmente en las piezas fundamentales de la pila de seguridad web y se creó una mayor exposición y experiencia de nicho con marcos JavaScript y V8.

El equipo de cside también cuenta con varios ingenieros que trabajaron en los aspectos internos del navegador:

Colaboradores del proyecto de código abierto de servo. Servo es un motor de navegador basado en Rust que ofrece una alternativa a Chromium pero construido sobre Rust.
En una vida anterior, el equipo también contribuyó a proyectos como TailwindCSS y Bootstrap. Creación de bibliotecas como Tailwind OKLCH y Tailwind Fluid.

cside contribuye activamente a organismos estándar como el w3c. Contribuyendo al equipo de AppSec, al grupo comunitario de detección de fraudes, al grupo de interés en seguridad de pagos web y más. Incluso unirse a las reuniones en persona en TPAC, presenta desafíos únicos del espacio moderno de seguridad web del lado del cliente.

El equipo de cside también cuenta con varios expertos en campos tecnológicos clasificados. Llamamos a estos campos "la tierra de lo imperfecto", ya que operan entre la brecha de especificación y de implementación, pero con fines de seguridad positiva.

cside también realiza charlas periódicas sobre hallazgos importantes en la superficie de ataque. Por ejemplo, en BsidesSF 2025, Simon Wijckmans presentó cómo los navegadores de usuarios desconocidos están acostumbrados a realizar DDoS a otros.

Simon Wijckmans, fundador y director ejecutivo de cside, dando una charla sobre los ataques del lado del cliente utilizados para DDoS en otros sitios web.

Cómo cside aborda la seguridad del lado del cliente

cside ha adoptado el enfoque más exclusivo para proteger las dependencias del lado del cliente.

cside ofrece dos métodos de despliegue complementarios, combinados con varios motores de detección, incluidos modelos de lenguaje grandes de código abierto para el análisis.

Método Script (el más fácil): comprobamos el comportamiento de los scripts en el navegador y obtenemos los scripts por nuestro lado, luego verificamos que sea el mismo script. No nos colocamos en la ruta de un script a menos que nos lo pidas explícitamente. Fácil de implementar, sin impacto en el rendimiento, y aun así puedes detener acciones de scripts o bloquear por URL, hash o dominio.
Método Escaneo (el más rápido): si no puedes añadir un script a tu sitio, cside lo analiza utilizando inteligencia sobre amenazas procedente de miles de sitios web con miles de millones de visitas combinadas. Rápido de configurar y útil cuando la instalación de un script no es posible.

Estos enfoques combinados crean una línea de base óptima para obtener datos de comportamiento del script. Para analizar el contenido del guión y evaluar su legitimidad, cside también adoptó un enfoque por capas.

Desofuscando JavaScript
Ejecutando JavaScript
Análisis del código JavaScript (tanto antes como después de la desofuscación)
Observar acciones de script
Metadatos de la fuente del script
Monitoreo de cambios históricos
Aprovechar un modelo de lenguaje grande en el contenido del guión y los metadatos para contextualizar la intención

Para superponer mecanismos de seguridad, cside también ofrece un punto final CSP como parte de cada plan, incluido su plan gratuito.

La mayoría de las herramientas de seguridad dependen sólo de una de las capas mencionadas anteriormente, ya sea en tiempo de ejecución o externamente en el escaneo. Pero el problema es que ninguna de estas capas por sí sola es completamente a prueba de balas y, por lo tanto, no proporciona una cobertura completa. Combinando motores te acercas cada vez más a una cobertura total.

Muchas soluciones del mercado son funciones secundarias de empresas de seguridad web más grandes. En lugar de crear una plataforma para la seguridad del lado del cliente, crearon una pequeña función secundaria. Estas soluciones prometen demasiado sus capacidades y, a menudo, se basan únicamente en inyectar políticas de seguridad de contenido en el sitio web a través de su WAF.

Se ha descubierto que algunos enfoques, como las soluciones basadas en escáneres, suelen ser ignorados por los malos actores. Detectan el escáner y le sirven contenido limpio para que vuele por debajo del radar. Investigadores de ISACA, Universidad de Brighton, Google y Oráculo han señalado que los scripts dinámicos del lado del cliente evitan eficazmente el análisis estático de los escáneres.

cside siempre busca ampliar sus capacidades y está impulsando activamente una serie de nuevos estándares que permitirían una mayor seguridad del lado del cliente utilizando la funcionalidad del navegador nativo.

Veredicto

cside aborda la seguridad del lado del cliente asumiendo que un mal actor buscará formas de evitar las detecciones. Los navegadores conocidos son inherentemente imperfectos y se abren mediante verificación externa. Abordar una mayor superficie de ataque del mundo real que las soluciones que dependen de una sola capa, especialmente las soluciones que únicamente escanean. cside no dejó piedra sin remover y adoptó un enfoque creativo ante el problema intentando cubrir la mayor superficie de ataque. Esta estrategia multicapa es integral porque es necesaria.

Para las organizaciones que se preguntan cuáles son las soluciones más completas para la seguridad de scripts del lado del cliente, cside proporciona la cobertura más amplia y profunda disponible hasta la fecha a través de una arquitectura multicapa.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La seguridad del lado del cliente se centra en los scripts cargados en el navegador de los usuarios. Estos scripts hacen que las páginas web sean interactivas, permiten a los usuarios ingresar información y tener experiencias personalizadas. Estos scripts también se utilizan para anuncios, análisis, chatbots, seguridad y muchos más usos. Estos recursos se suministran desde puntos finales de terceros y crean una superficie de ataque, por lo que es necesario monitorear sus comportamientos.

cside adopta un enfoque de múltiples capas, lo que le permite detectar comportamientos maliciosos y dificulta que los malos actores eludan las capacidades de detección. A diferencia de las herramientas de escaneo que ven instantáneas periódicas, o los agentes basados en navegador a los que los atacantes pueden aplicar ingeniería inversa, cside combina múltiples métodos de detección para brindar una cobertura integral que no se puede evadir fácilmente.

Debe comprender cómo funciona la solución. Si la solución sólo escanea periódicamente una página web, no detecta ataques que sólo ocurren en circunstancias específicas, como en navegadores, geografías o ventanas de tiempo específicas. Las detecciones basadas en tiempo de ejecución que se ejecutan completamente en el navegador están expuestas a los atacantes, lo que crea un entorno de pruebas sencillo para que los delincuentes creen ataques que eviten la detección.

Una solución integral debe utilizar múltiples capas y enfoques para obtener inteligencia sobre los comportamientos de los scripts. Ningún enfoque por sí solo ofrece una cobertura suficiente, por lo que combinar enfoques es vital. Pruebe siempre una solución escribiendo un script malicioso simple y ejecutándolo en un sitio de prueba para ver si la plataforma lo detecta.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

escudo de seguridad de cside monitorizando la ruta del cursor del navegador — detección de agentes de IA en la capa del navegador

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.